Puntos clave
- Los ciberdelincuentes están abusando de Direct Send de Microsoft 365 para enviar correos electrónicos de phishing que eluden las comprobaciones SPF, DKIM y DMARC.
- El ataque suplanta cuentas internas a través de una función legítima destinada a dispositivos internos, eludiendo los filtros de seguridad.
- Las cargas útiles incluyen códigos QR y archivos HTML adjuntos que roban credenciales, y algunos ataques se han rastreado hasta IP extranjeras.
- Medidas de protección: activar Rechazar envío directo, aplicar DMARC estricto, utilizar sellado de encabezado y poner en cuarentena las comprobaciones fallidas.
Los ciberdelincuentes se están aprovechando de la función de envío directo de Microsoft 365 para enviar correos electrónicos de phishing muy convincentes que parecen proceder de usuarios internos de confianza, eludiendo las comprobaciones estándar de autenticación de correo electrónico como SPF, DKIM y DMARC.
El exploit fue documentado por investigadores de StrongestLayer tras observar cómo los atacantes atacaban con éxito a uno de sus clientes.
¿Cómo funciona el ataque de phishing Microsoft Direct Send?
El ataque abusa de una función legítima diseñada para ayudar a impresoras, escáneres y sistemas internos a enviar mensajes sin autenticación compleja. Al hacerse pasar por cuentas internas, los atacantes eluden muchas comprobaciones basadas en políticas que suelen filtrar los mensajes externos, con lo que consiguen evadir tanto a Microsoft Defender y las puertas de enlace de correo electrónico seguras de terceros. Esto afecta a las implementaciones de Microsoft 365/Exchange Online en particular; incluso los entornos en los que los usuarios ejecutan Office 2024 como su suite de escritorio pueden verse afectados si Direct Send permanece habilitado en la capa de correo.
Una vez que se aprovecha la confianza en la comunicación interna de la organización objetivo, los atacantes pueden enviar una variedad de contenido malicioso, desde cargas útiles basadas en códigos QR hasta archivos adjuntos HTML, que recopilan credenciales sin activar las defensas habituales. En un caso documentado, los correos electrónicos de phishing se originaron en direcciones IP de Ucrania y Francia, pero se procesaron como tráfico de confianza.
Medidas preventivas
Microsoft ha introducido opciones para que las organizaciones apliquen políticas personalizadas de sellado de encabezados y cuarentena para los mensajes que afirman falsamente ser internos. Los expertos en seguridad también recomiendan activar Rechazar envío directo de Microsoft de Microsoft y aplicar una política DMARC estrictay poner en cuarentena los mensajes que no superen las comprobaciones de autenticidad.
Palabras finales
Las defensas proactivas ya no son opcionales, especialmente cuando los atacantes abusan de los sistemas de confianza para eludir la seguridad tradicional. Al combinar las medidas de refuerzo de Microsoft 365 con la aplicación de autenticación avanzada, las organizaciones pueden reducir drásticamente su exposición a estas tácticas.
La plataforma de gestión DMARC de PowerDMARC le ayuda a implantar y mantener estrictas políticas de autenticación, supervisar los intentos de suplantación de identidad en tiempo real y detener los ataques de phishing antes de que lleguen a sus usuarios. Póngase en contacto hoy mismo para programar una demostración gratuita o hablar con un experto.
Preguntas frecuentes
¿Qué es Microsoft 365 Direct Send?
Es una función de Microsoft 365 que permite a los dispositivos y aplicaciones de una organización enviar correos electrónicos sin necesidad de una autenticación compleja, y que está pensada para la comunicación interna.
¿Por qué la utilizan indebidamente los atacantes?
La función «Direct Send» permite enviar mensajes sin necesidad de autenticación. De este modo, los atacantes pueden hacer que los correos electrónicos parezcan internos, eludiendo así muchos controles de seguridad.
¿Cómo pueden protegerse las organizaciones?
Activa la función de Microsoft Reject Direct Send de Microsoft, implementar el sellado de encabezados, aplicar una política DMARC estricta y poner en cuarentena los mensajes que no superen las comprobaciones de autenticidad.
¿Qué sectores corren mayor riesgo?
Las actividades recientes se han centrado principalmente en las entidades de servicios financieros, las empresas manufactureras y las organizaciones sanitarias de EE. UU.
- ¿Qué es la generación de informes TLS? Cómo detectan los informes TLS de SMTP los fallos en la entrega de correos electrónicos - 9 de julio de 2026
- Los mejores servidores MCP de DMARC en 2026: conecta la IA a tus datos de autenticación de correo electrónico - 9 de julio de 2026
- Caso práctico de DMARC para MSP: The Great Geek amplía sus servicios de seguridad de correo electrónico para pymes con PowerDMARC - 25 de junio de 2026

